証明書ベースの認証を使用してクライアント VPN エンドポイントを作成する方法を教えてください。

最終更新日: 2020 年 3 月 13 日

AWS クライアント VPN を使用して AWS のリソースにアクセスしたいと考えているのですが、Active Directory は使用したくありません。証明書ベースの認証を使用してクライアント VPN エンドポイントを作成する方法を教えてください。

解決方法

クライアント VPN エンドポイントは、すべてのクライアント VPN セッションが終了するサーバーです。AWS によって管理されるこのエンドポイントは、お使いの VPC と OpenVPN ベースのクライアントとの間にセキュアな TLS 接続を確立します。証明書ベースの認証を使用してクライアント VPN エンドポイントを作成するには、以下の手順を実行します。

サーバーとクライアントの証明書とキーを生成する

クライアントを認証するには、サーバーとクライアントの証明書、およびクライアントキーを生成してから、それらを AWS Certificate Manager (ACM) にアップロードする必要があります。証明書を生成する方法と、それらを ACM にアップロードする方法については、クライアント VPN の「 Mutual Authentication」を参照してください。

クライアント VPN エンドポイントを作成する

クライアント VPN エンドポイントを作成 するときは、ACM によって提供される サーバー証明書の ARN を指定します。VPN が確立された後でクライアントに割り当てられる IP アドレス範囲である クライアント IPv4 CIDR も選択する必要があります。IP アドレス範囲を VPC CIDR ブロックと重複させることはできないことに注意してください。

CloudWatch Logs を使ってクライアント接続のログ記録を有効化し、クライアントが使用するカスタム DNS サーバーを指定することができます。VPN エンドポイントでスプリットトンネルを有効化することもでき、転送プロトコルには UDP または TCP を選択できます。

クライアントに対する VPN 接続を有効化する

クライアントが VPN セッションを確立できるようにするには、ターゲットネットワークをクライアント VPN エンドポイントに関連付ける必要があります。ターゲットネットワークは VPC 内のサブネットです。認証ルールで許可されている場合、クライアントが VPC のネットワーク全体にアクセスするためのサブネットの関連付けは 1 つで十分ですが、追加のサブネットを関連付けて、アベイラビリティーゾーンがダウンした場合に高可用性を提供することができます。詳細については、サブネットの関連付けを参照してください。

クライアントに VPC リソースまたはその他のネットワークへのアクセスを許可する

クライアントに VPC へのアクセスを許可するには、認証ルールを作成します。認証ルールは、VPC にアクセスできるクライアントを指定します。

また、AWS のサービス、ピアリング接続先 VPC、オンプレミスネットワーク、またはインターネットなどの追加のネットワークへのアクセスも有効化できます。追加のネットワークごとに、クライアント VPN エンドポイントのルートテーブルへのルートを追加し、クライアントにアクセス権を付与する認証ルールを設定する必要があります。

VPC および異なるネットワークへのアクセスをクライアントに許可するには、「Authorize Clients to Access a Network」を参照してください。

クライアント VPN エンドポイント設定ファイルをダウンロードする

最後のステップは、クライアント VPN エンドポイント設定ファイルのダウンロードと準備です。このファイルは、クライアントが VPN クライアントアプリケーションに構成設定をアップロードできるように、クライアントに提供します。AWS Client VPN のエンドポイントに接続するためのクライアントアプリケーションの使用に関する詳細については、AWS Client VPN ユーザーガイドを参照してください。


クライアント VPN の使用開始 (チュートリアル)

この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合